想要查找有关 Microsoft Entra 安全令牌服务 (STS) 返回的 AADSTS 错误代码的信息? 请阅读本文档来查找 AADSTS 错误说明、修复方法和一些建议的解决方法。
本文中的信息属于初步信息,随时可能更改。 遇到了问题或者找不到所需的内容? 请创建 GitHub 问题,或查看
面向开发人员的支持和帮助选项
来了解其他可以获得帮助和支持的方法。
本文档是为开发者和管理员提供的指导,但决不应为客户自身所用。 错误代码可能会随时更改,以提供更详细的错误消息,为开发者在构建应用程序时提供帮助。 依赖于文本或错误代码的应用程序随着时间的推移将会损坏。
错误代码和消息可能会更改。 有关最新信息,请查看
https://login.microsoftonline.com/error
页,以查找 AADSTS 错误说明、修复程序和一些建议的解决方法。
例如,如果收到错误代码“AADSTS50058”,则在
https://login.microsoftonline.com/error
中搜索“50058”。 还可以通过将错误代码编号添加到 URL
https://login.microsoftonline.com/error?code=50058
来直接链接到特定错误。
处理应用程序中的错误代码
OAuth 2.0 规范
介绍如何在身份验证期间使用错误响应的
error
部分处理错误。
以下是一个错误响应示例:
"error": "invalid_scope",
"error_description": "AADSTS70011: The provided value for the input parameter 'scope' isn't valid. The scope https://example.contoso.com/activity.read isn't valid.\r\nTrace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333\r\nCorrelation ID: aaaa0000-bb11-2222-33cc-444444dddddd\r\nTimestamp: 2016-01-09 02:02:12Z",
"error_codes": [
70011
"timestamp": "2016-01-09 02:02:12Z",
"trace_id": "0000aaaa-11bb-cccc-dd22-eeeeee333333",
"correlation_id": "aaaa0000-bb11-2222-33cc-444444dddddd",
"error_uri":"https://login.microsoftonline.com/error?code=70011"
invalid_grant
某些身份验证材料(身份验证代码、刷新令牌、访问令牌、PKCE 质询)无效、无法分析、缺失或在其他方面无法使用
尝试对
/authorize
终结点发出新请求来获取新的授权代码。 考虑查看和验证应用程序对协议的使用。
unauthorized_client
经过身份验证的客户端无权使用此权限授予类型。
客户端应用程序未注册到 Microsoft Entra ID 中或者未添加到用户的 Microsoft Entra 租户时,通常会出现这种情况。 应用程序可以提示用户,并说明如何安装应用程序并将其添加到 Microsoft Entra ID。
invalid_client
客户端身份验证失败。
客户端凭据无效。 若要修复,应用程序管理员应更新凭据。
unsupported_grant_type
授权服务器不支持权限授予类型。
更改请求中的授权类型。 这种类型的错误应该只在开发过程中发生,并且应该在初始测试过程中检测到。
invalid_resource
目标资源无效,原因是它不存在,Microsoft Entra ID 找不到它,或者其未正确配置。
这表示尚未在租户中配置资源(如果存在)。 应用程序可以提示用户,并说明如何安装应用程序并将其添加到 Microsoft Entra ID。 在开发过程中,这通常表示测试租户设置错误,或者在所请求范围的名称中有拼写错误。
interaction_required
请求需要用户交互。 例如,需要其他身份验证步骤。
请以交互方式用同一资源重试请求,以便用户能够完成所需的任何质询。
temporarily_unavailable
服务器暂时繁忙,无法处理请求。
重试请求。 客户端应用程序可向用户说明,其响应由于临时状况而延迟。
AADSTS 错误代码
AADSTS16000
InteractionRequired - 来自标识提供者“{idp}”的用户帐户“{EmailHidden}”在租户“{tenant}”中不存在,且无法访问该租户中的应用程序 '{appid}'({appName})。 该帐户需要先作为外部用户添加到租户中。 注销并使用另一 Microsoft Entra 用户帐户再次登录。 当你尝试使用个人 Microsoft 帐户登录到 Microsoft Entra 管理中心,但没有与之关联的目录时,此错误相当常见。
AADSTS16001
UserAccountSelectionInvalid - 如果用户选择会话选择逻辑已拒绝的某个磁贴,你将看到此错误。 触发此错误时,用户可以从更新的磁贴/会话列表中进行选择或选择另一个帐户进行恢复。 此错误的原因可能是代码缺陷或出现争用状况。
AADSTS16002
AppSessionSelectionInvalid - 不符合应用指定的 SID 要求。
AADSTS160021
AppSessionSelectionInvalidSessionNotExist - 应用程序请求的用户会话不存在。 此问题可以通过创建新的 Azure 帐户来得到解决。
AADSTS16003
SsoUserAccountNotFoundInResourceTenant - 指示尚未显式将用户添加到租户。
AADSTS17003
CredentialKeyProvisioningFailed - Microsoft Entra ID 无法预配用户密钥。
AADSTS20001
WsFedSignInResponseError - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS20012
WsFedMessageInvalid - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS20033
FedMetadataInvalidTenantName - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS230109
CachedCredentialNonGWAuthNRequestsNotSupported - 备份身份验证服务仅允许来自 Microsoft Entra 网关的 AuthN 请求。 当流量直接面向备份身份验证服务而不是通过反向代理时,将返回此错误。
AADSTS28002
请求访问令牌时,为输入参数范围“{scope}”提供的值无效。 请指定有效范围。
AADSTS28003
当使用提供的授权代码请求访问令牌时,为输入参数范围提供的值不能为空。 请指定有效范围。
AADSTS40008
OAuth2IdPUnretryableServerError - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS40009
OAuth2IdPRefreshTokenRedemptionUserError - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS40010
OAuth2IdPRetryableServerError - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS40015
OAuth2IdPAuthCodeRedemptionUserError - 联合标识提供者出现问题。 请联系 IDP 解决此问题。
AADSTS50000
TokenIssuanceError - 登录服务出现问题。 请
开具支持票证
以解决此问题。
AADSTS50001
InvalidResource - 资源已禁用或不存在。 请检查应用代码,确保为尝试访问的资源指定了确切的资源 URL。
AADSTS50002
NotAllowedTenant - 由于租户中的代理访问权限受限,登录失败。 如果这是你自己的租户策略,可以更改受限的租户设置来解决此问题。
AADSTS500011
InvalidResourceServicePrincipalNotFound - 在名为 {tenant} 的租户中找不到名为 {name} 的资源主体。 如果租户管理员未安装该应用程序或租户中的任何用户未同意该应用程序,则可能会发生这种情况。 可能将身份验证请求发送给了错误的租户。 如果希望安装应用,可能需要提供管理员权限才能添加它。 请与资源和应用程序的开发人员联系,了解租户的正确设置。
AADSTS500014
InvalidResourceServicePrincipalDisabled - 已禁用资源“{identifier}”的服务主体。 这表示租户中的订阅已失效,或者此租户的管理员已禁用应用程序的服务主体,从而阻止为其颁发令牌。 有关详细信息,请参阅
禁用应用程序的用户登录
。
AADSTS500021
拒绝访问“{tenant}”租户。 AADSTS500021 指示已配置租户限制功能,并且用户正尝试访问标头
Restrict-Access-To-Tenant
指定的允许租户列表中没有的租户。 有关详细信息,请参阅
使用租户限制管理对 SaaS 云应用程序的访问
。
AADSTS500022
拒绝访问“{tenant}”租户。 AADSTS500022 指示已配置租户限制功能,并且用户正尝试访问标头
Restrict-Access-To-Tenant
指定的允许租户列表中没有的租户。 有关详细信息,请参阅
使用租户限制管理对 SaaS 云应用程序的访问
。
AADSTS50003
MissingSigningKey - 由于缺少签名密钥或证书,登录失败。 这可能是因为应用中未配置任何签名密钥。 若要了解详细信息,请参阅“故障排除”一文以了解错误
AADSTS50003
。 如果仍然出现问题,请联系应用所有者或应用管理员。
AADSTS50005
DevicePolicyError - 用户尝试从条件访问策略目前不支持的平台登录到设备。
AADSTS50006
InvalidSignature - 由于签名无效,签名验证失败。
AADSTS50007
PartnerEncryptionCertificateMissing - 未找到此应用的合作伙伴加密证书。 请向 Microsoft
开具支持票证
以解决此问题。
AADSTS50008
InvalidSamlToken - SAML 断言在令牌中缺失或配置错误。 请联系联合提供者。
AADSTS5000819
InvalidSamlTokenEmailMissingOrInvalid - SAML 断言无效。 电子邮件地址声明缺失或与外部领域的域不匹配。
AADSTS50010
AudienceUriValidationFailed - 由于未配置令牌受众,应用的受众 URI 验证失败。
AADSTS50011
InvalidReplyTo - 回复地址缺失、配置错误或者与为应用配置的回复地址不匹配。 作为一种解决方法,请确保将此缺失的回复地址添加到 Microsoft Entra 应用程序,或者让有权在 Microsoft Entra ID 中管理你的应用程序的人员为你执行此操作。 若要了解详细信息,请参阅“故障排除”一文以了解错误
AADSTS50011
。
AADSTS50012
AuthenticationFailed - 身份验证由于以下原因之一而失败:
-
未授权签名证书的使用者名称
-
找不到与已授权使用者名称匹配的受信任颁发机构策略
-
证书链无效
-
签名证书无效
-
未在租户中配置策略
-
未授权签名证书的指纹
-
客户端断言包含无效的签名
AADSTS50013
InvalidAssertion - 多种原因导致断言无效 - 令牌颁发者与其有效时间范围内的 API 版本不匹配 - 已过期 - 格式不正确 - 断言中的刷新令牌不是主要刷新令牌。 请与应用开发人员联系。
AADSTS500133
断言不在其有效时间范围内。 确保访问令牌在用于用户断言之前没有过期,或请求一个新令牌。 当前时间:{curTime},断言的到期时间 {expTime}。 多种原因会导致断言无效:
-
令牌颁发者与其有效时间范围内的 API 版本不匹配
-
Expired
-
格式错误
-
断言中的刷新令牌不是主刷新令牌
AADSTS50014
GuestUserInPendingState - 目录中不存在该用户帐户。 应用程序可能选择了错误的租户进行登录,并且当前登录的用户被阻止登录,因为它们不存在于你的租户中。 如果此用户应该能够登录,请将其添加为来宾。 有关详细信息,请访问
添加 B2B 用户
。
AADSTS50015
ViralUserLegalAgeConsentRequiredState - 用户需要法定年龄组许可。
AADSTS50017
CertificateValidationFailed - 证书验证失败,原因如下:
-
在受信任的证书列表中找不到颁发证书
-
找不到所需的 CrlSegment
-
在受信任的证书列表中找不到颁发证书
-
在没有对应 CRL 分发点的情况下配置了增量 CRL 分发点
-
由于超时问题,无法检索有效的 CRL 段
-
无法下载 CRL
请联系租户管理员。
AADSTS50020
UserUnauthorized - 未授权用户调用此终结点。 来自标识提供者“{idp}”的用户帐户“{email}”不存在于租户“{tenant}”中,且无法访问该租户中的应用程序 '{appid}'({appName})。 该帐户需要先作为外部用户添加到租户中。 注销并使用另一 Microsoft Entra 用户帐户再次登录。 如果此用户应是租户的成员,则应通过
B2B 系统
邀请他们。 有关其他信息,请访问
AADSTS50020
。
AADSTS500208
域不是该帐户类型的有效登录域 - 当用户帐户与给定租户的预期帐户类型不匹配时,会出现这种情况。 例如,如果租户配置为仅允许工作或学校帐户,而用户尝试使用个人 Microsoft 帐户登录,则会收到此错误。
AADSTS500212
NotAllowedByOutboundPolicyTenant - 用户的管理员已设置出站访问策略,该策略不允许访问资源租户。
AADSTS500213
NotAllowedByInboundPolicyTenant - 资源租户的跨租户访问策略不允许此用户访问此租户。
AADSTS50027
InvalidJwtToken - 以下原因导致 JWT 令牌无效:
-
不包含 nonce 声明和子声明
-
使用者标识符不匹配
-
idToken 声明中存在重复声明
-
意外的颁发者
-
意外的受众
-
不在有效的时间范围内
-
令牌格式不正确
-
颁发者的外部 ID 令牌未通过签名验证。
AADSTS50029
URI 无效 - 域名包含无效字符。 请联系租户管理员。
AADSTS50032
WeakRsaKey - 指示错误的用户尝试使用弱 RSA 密钥。
AADSTS50033
RetryableError - 指示与数据库操作不相关的暂时性错误。
AADSTS50034
UserAccountNotFound - 若要登录到此应用程序,必须将帐户添加到目录中。 发生此错误的原因可能是用户键入了用户名错误,或者不在租户中。 应用程序可能选择了错误的租户登录,并且当前登录的用户被阻止登录,因为它们不存在于租户中。 如果此用户应该能够登录,请将其添加为来宾。 请参阅此处的文档:
添加 B2B 用户
。
AADSTS50042
UnableToGeneratePairwiseIdentifierWithMissingSalt - 原则中缺少用于生成成对标识符的盐。 请联系租户管理员。
AADSTS50043
UnableToGeneratePairwiseIdentifierWithMultipleSalts
AADSTS50048
SubjectMismatchesIssuer - 使用者与客户端断言中的颁发者声明不匹配。 请联系租户管理员。
AADSTS50049
NoSuchInstanceForDiscovery - 未知或无效的实例。
AADSTS50050
MalformedDiscoveryRequest - 请求格式不正确。
AADSTS50053
两种不同的原因会导致此错误:
-
IdsLocked - 帐户已锁定,因为用户尝试使用不正确的用户 ID 或密码登录的次数过多。 用户因反复登录尝试而被阻止。 请参阅
修正风险并对用户解除阻止
。
-
或者登录已被阻止,因为它来自涉及恶意活动的 IP 地址。
若要确定导致此错误的失败原因,请至少以
云应用程序管理员
身份登录到
Microsoft Entra 管理中心
。 导航到 Microsoft Entra 租户,然后选择“监视和运行状况”
- >“登录日志”
。 找到“登录错误代码”为 50053 的失败用户登录,然后检查“失败原因”。
AADSTS50055
InvalidPasswordExpiredPassword - 密码已过期。 用户的密码已过期,因此其登录名或会话已结束。 他们有机会重置密码,或者可能要求管理员通过
使用 Microsoft Entra ID 重置用户密码
来重置密码。
AADSTS50056
密码无效或为 null:密码在此用户的目录中不存在。 应要求用户再次输入其密码。
AADSTS50057
UserDisabled - 用户帐户处于禁用状态。 Active Directory 中支持此帐户的用户对象已禁用。 管理员可以
通过 Powershell
重新启用此帐户
AADSTS50058
UserInformationNotProvided - 会话信息不足,无法进行单一登录。 这意味着用户未登录。 这是一个常见的错误,如果用户未经过身份验证并且尚未登录,则预期会出现此错误。
如果在用户之前已登录过的 SSO 上下文中遇到此错误,则表示 SSO 会话未找到或无效。
如果指定了 prompt=none,则可能会在应用程序中返回此错误。
AADSTS50059
MissingTenantRealmAndNoUserInformationProvided - 在请求中未找到租户标识信息,或者任何提供的凭据未隐式指定此信息。 用户可以联系租户管理员来帮助解决此问题。
AADSTS50061
SignoutInvalidRequest - 无法退出登录。请求无效。
AADSTS50064
CredentialAuthenticationError - 用户名或密码凭据验证失败。
AADSTS50068
SignoutInitiatorNotParticipant - 注销失败。 发起注销的应用不是当前会话中的参与者。
AADSTS50070
SignoutUnknownSessionIdentifier - 注销失败。 注销请求指定了与现有会话不匹配的名称标识符。
AADSTS50071
SignoutMessageExpired - 注销请求已过期。
AADSTS50072
UserStrongAuthEnrollmentRequiredInterrupt - 用户需要注册双重身份验证(交互式)。
AADSTS50074
UserStrongAuthClientAuthNRequiredInterrupt - 需要强身份验证,用户未通过 MFA 质询。
AADSTS50076
UserStrongAuthClientAuthNRequired - 由于管理员做了配置更改(如条件访问策略),或者你已移到新位置,用户必须使用多重身份验证来访问资源。 请使用针对资源的新授权请求重试。
AADSTS50078
UserStrongAuthExpired - 呈现的多重身份验证已过期(因为存在管理员配置的策略)。 你必须刷新多重身份验证才能访问“{resource}”。
AADSTS50079
UserStrongAuthEnrollmentRequired - 由于管理员做了配置更改(如条件访问策略),或者因为用户已移到新位置,用户必须使用多重身份验证。 托管用户需要注册安全信息才能完成多重身份验证,或者联合用户需要从联合标识提供者获取多重声明。
AADSTS50085
刷新令牌需要社交 IDP 登录。 请让用户尝试使用用户名和密码再次登录
AADSTS50086
SasNonRetryableError
AADSTS50087
SasRetryableError - 强身份验证期间出现暂时性错误。 请重试。
AADSTS50088
已达到电信 MFA 呼叫限制。 请过几分钟重试。
AADSTS50089
由于流令牌过期,身份验证失败。 预期 - 身份验证代码、刷新令牌和会话会随着时间的推移而过期,或者由用户或管理员撤销。应用将请求用户进行新登录。
AADSTS50097
DeviceAuthenticationRequired - 必须使用设备身份验证。
AADSTS50099
PKeyAuthInvalidJwtUnauthorized - JWT 签名无效。
AADSTS50105
EntitlementGrantsNotFound - 未向已登录用户分配已登录应用的角色。 将用户分配给应用。 若要了解详细信息,请参阅“故障排除”一文以了解错误
AADSTS50105
。
AADSTS50107
InvalidRealmUri - 请求的联合领域对象不存在。 请联系租户管理员。
AADSTS50120
ThresholdJwtInvalidJwtFormat - JWT 标头有问题。 请联系租户管理员。
AADSTS50124
ClaimsTransformationInvalidInputParameter - 声明转换包含无效的输入参数。 请联系租户管理员来更新策略。
AADSTS501241
转换 ID“{transformId}”中缺少必填的输入“{paramName}”。 Microsoft Entra ID 尝试向应用程序生成 SAML 响应时,将返回此错误。 NameID 声明或 NameIdentifier 在 SAML 响应中是必填内容,如果 Microsoft Entra ID 无法获取 NameID 声明的源属性,它将返回此错误。 作为一种解决方法,请确保添加声明规则。 若要添加声明规则,请至少以
云应用程序管理员
身份登录到
Microsoft Entra 管理中心
,然后浏览到“标识”>“应用程序”>“企业应用程序”。 选择应用程序,选择“单一登录”
,然后在“用户属性和声明”
中输入“唯一用户标识符(名称 ID)”。
AADSTS50125
PasswordResetRegistrationRequiredInterrupt - 密码重置或密码注册条目导致登录中断。
AADSTS50126
InvalidUserNameOrPassword - 无效的用户名或密码导致验证凭据时出错。 用户未输入正确的凭据。 由于用户出错,预计日志中会出现一些错误。
AADSTS50127
BrokerAppNotInstalled - 用户需要安装中转站应用才能访问此内容。
AADSTS50128
域名无效 - 未在请求中找到或提供的任何凭据均未暗示任何租户标识信息。
AADSTS50129
DeviceIsNotWorkplaceJoined - 需要加入工作区才能注册设备。
AADSTS50131
ConditionalAccessFailed - 指示各种条件访问错误,例如,Windows 设备状态不正确,请求因活动可疑、访问策略和安全策略决策而被阻止。
AADSTS50132
SsoArtifactInvalidOrExpired - 会话由于密码过期或最近更改了密码而无效。
AADSTS50133
SsoArtifactRevoked - 会话由于密码过期或最近更改了密码而无效。
AADSTS50134
DeviceFlowAuthorizeWrongDatacenter - 错误的数据中心。 若要授权 OAuth 2.0 设备流中的应用发起的请求,授权方必须与原始请求位于同一数据中心。
AADSTS50135
PasswordChangeCompromisedPassword - 由于帐户风险,需要更改密码。
AADSTS50136
RedirectMsaSessionToApp - 检测到单个 MSA 会话。
AADSTS50139
SessionMissingMsaOAuth2RefreshToken - 由于缺少外部刷新令牌,会话无效。
AADSTS50140
KmsiInterrupt - 此错误是由于用户登录时出现“使我保持登录状态”中断而发生的。 这是登录流的预期部分,其中会询问用户是否希望保持登录到当前浏览器,以便以后更轻松地登录。 有关详细信息,请参阅
现已推出新的 Microsoft Entra 登录和“使我保持登录状态”体验!
。 你可以
开具支持票证
并提供相关性 ID、请求 ID 和错误代码,以获取更多详细信息。
AADSTS50143
会话不匹配 - 会话无效,因为不同的资源导致用户租户与域提示不匹配。
开具支持票证
并提供相关性 ID、请求 ID 和错误代码,以获取更多详细信息。
AADSTS50144
InvalidPasswordExpiredOnPremPassword - 用户的 Active Directory 密码已过期。 为用户生成新密码,或者让用户使用自助重置工具重置其密码。
AADSTS50146
MissingCustomSigningKey - 需要为此应用配置特定于应用的签名密钥。 没有为此应用程序配置签名密钥,或者密钥已过期或尚未生效。 请联系应用程序的所有者。
AADSTS501461
仅与应用程序 GUID 匹配的令牌受众或租户的已验证域中的受众支持 AcceptMappedClaims。 更改资源标识符,或使用特定于应用程序的签名密钥。
AADSTS50147
MissingCodeChallenge - 代码质询参数的大小无效。
AADSTS501481
Code_Verifier 与授权请求中提供的 code_challenge 不匹配。
AADSTS501491
InvalidCodeChallengeMethodInvalidSize - Code_Challenge 参数的大小无效。
AADSTS50155
DeviceAuthenticationFailed - 此用户的设备身份验证失败。
AADSTS50158
ExternalSecurityChallenge - 不符合外部安全质询。
AADSTS50161
InvalidExternalSecurityChallengeConfiguration - 外部提供程序发送的声明不够,或者向外部提供程序请求的声明缺失。
AADSTS50166
ExternalClaimsProviderThrottled - 无法将请求发送到声明提供程序。
AADSTS50168
ChromeBrowserSsoInterruptRequired - 客户端能够通过 Windows 10 帐户扩展获取 SSO 令牌,但在请求中找不到令牌,或提供的令牌已过期。
AADSTS50169
InvalidRequestBadRealm - 领域不是当前服务命名空间的已配置领域。
AADSTS50170
MissingExternalClaimsProviderMapping - 缺少外部控制映射。
AADSTS50173
FreshTokenNeeded - 所提供的授权因被撤销而过期,需要一个新的身份验证令牌。 管理员或用户撤销了该用户的令牌,导致后续的令牌刷新失败,需要重新进行身份验证。 让用户重新登录。
AADSTS50177
ExternalChallengeNotSupportedForPassthroughUsers - 直通用户不支持外部质询。
AADSTS50178
SessionControlNotSupportedForPassthroughUsers - 直通用户不支持会话控制。
AADSTS50180
WindowsIntegratedAuthMissing - 需要 Windows 集成身份验证。 为租户启用无缝 SSO。
AADSTS50187
DeviceInformationNotProvided - 服务无法执行设备身份验证。
AADSTS50192
无效的请求 - RawCredentialExpectedNotFound - 登录请求中不包含任何凭据。 示例:用户正在执行基于证书的身份验证 (CBA),但在登录请求中未发送任何证书或用户证书已被代理删除。
AADSTS50194
应用程序“{appId}”({appName}) 未配置为多租户应用程序。 在“{time}”之后创建的此类应用程序不支持使用 /common 终结点。 使用特定于租户的终结点,或将应用程序配置为多租户。
AADSTS50196
LoopDetected - 检测到客户端循环。 检查应用的逻辑,以确保实现了令牌缓存,并且正确处理了错误情况。 该应用在太短的时间内发出了太多相同请求,表明它处于错误状态或滥用请求令牌。
AADSTS50197
ConflictingIdentities - 找不到用户。 请尝试再次登录。
AADSTS50199
CmsiInterrupt - 出于安全原因,此请求需要用户确认。 对移动浏览器中所有方案重定向显示中断。
无需采取措施。 系统要求用户确认此应用是其打算登录的应用程序。
这是一项有助于防止欺骗攻击的安全功能。 出现这种情况是因为系统 Web 视图已用于请求本机应用程序的令牌。
要避免此提示,重定向 URI 应是以下安全列表的一部分:
http://
https://
chrome-extension://(仅限桌面 Chrome 浏览器)
AADSTS51000
RequiredFeatureNotEnabled - 已禁用该功能。
AADSTS51001
DomainHintMustbePresent - 必须使用本地安全标识符或本地 UPN 提供域提示。
AADSTS1000104
XCB2BResourceCloudNotAllowedOnIdentityTenant - 标识租户 {identityTenant} 上不允许资源云 {resourceCloud}。 {resourceCloud} - 拥有资源的云实例。 {identityTenant} - 是登录标识的来源租户。
AADSTS51004
UserAccountNotInDirectory - 目录中不存在该用户帐户。 应用程序可能选择了错误的租户登录,并且当前登录的用户被阻止登录,因为它们不存在于租户中。 如果此用户应该能够登录,请将其添加为来宾。 有关详细信息,请访问
添加 B2B 用户
。
AADSTS51005
TemporaryRedirect - 等效于 HTTP 状态 307,表示请求的信息位于 location 标头中指定的 URI 处。 如果收到此状态,请遵循与响应关联的 location 标头操作。 如果原始请求方法是 POST,则重定向的请求也会使用 POST 方法。
AADSTS51006
ForceReauthDueToInsufficientAuth - 需要 Windows 集成身份验证。 用户已使用缺少集成 Windows 身份验证声明的会话令牌登录。 请求用户重新登录。
AADSTS52004
DelegationDoesNotExistForLinkedIn - 用户未许可访问 LinkedIn 资源。
AADSTS53000
DeviceNotCompliant:条件访问策略需要合规设备,该设备不合规。 用户必须使用已批准的 MDM 提供程序(例如 Intune)注册其设备。 有关其他信息,请访问
条件访问设备修正
。
AADSTS53001
DeviceNotDomainJoined - 条件访问策略需要已加入域的设备,而该设备未加入域。 让用户使用已加入域的设备。
AADSTS53002
ApplicationUsedIsNotAnApprovedApp - 使用的应用不是批准用于条件访问的应用。 用户需使用可用的获批准应用列表中的某个应用才能获取访问权限。
AADSTS53003
BlockedByConditionalAccess - 条件访问策略已阻止访问。 访问策略不允许令牌颁发。 如果这是意外情况,请查看应用于此请求的条件访问策略,或与管理员联系。 有关其他信息,请访问
使用条件访问排查登录问题
。
AADSTS530035
BlockedBySecurityDefaults - 访问已被安全默认值阻止。 这是因为请求使用了旧式身份验证或被安全默认值策略视为不安全。 有关其他信息,请访问
强制实施的安全策略
。
AADSTS53004
ProofUpBlockedDueToRisk - 在访问此内容之前,用户需要完成多重身份验证注册过程。 用户应注册多重身份验证。
AADSTS53010
ProofUpBlockedDueToSecurityInfoAcr - 无法配置多重身份验证方法,因为组织需要从特定的位置或设备设置此信息。
AADSTS53011
用户因主租户的风险而被阻止。
AADSTS530034
DelegatedAdminBlockedDueToSuspiciousActivity - 由于主租户中的帐户风险,已阻止委派管理员访问租户。
AADSTS54000
MinorUserBlockedLegalAgeGroupRule
AADSTS54005
OAuth2 授权代码已兑换,请使用新的有效代码重试,或使用现有的刷新令牌。
AADSTS65001
DelegationDoesNotExist - 用户或管理员尚未许可将应用程序与 ID X 配合使用。请发送针对该用户和资源的交互式授权请求。
AADSTS65002
必须通过预授权在第一方应用程序“{applicationId}”与第一方资源“{resourceId}”之间配置同意 - 由 Microsoft 拥有和操作的应用程序必须先获得 API 所有者的批准,然后才能请求该 API 的令牌。 租户中的某位开发人员可能正在尝试重用 Microsoft 拥有的应用 ID。 此错误会导致他们无法模拟 Microsoft 应用程序来调用其他 API。 他们必须移动到其注册的另一个应用 ID。
AADSTS65004
UserDeclinedConsent - 用户已拒绝许可访问该应用。 让用户重试登录并同意访问此应用
AADSTS65005
MisconfiguredApplication - 应用所需的资源访问列表不包含可以通过资源来发现的应用,或者客户端应用请求访问的资源未在其必需的资源访问列表中指定,或者 Graph 服务返回了错误的请求,或者资源找不到。 如果应用支持 SAML,则原因可能是使用错误的标识符(实体)配置了应用。 若要了解详细信息,请参阅“故障排除”一文以了解错误
AADSTS650056
。
AADSTS650052
应用需要访问你的组织
\"{organization}\"
尚未订阅或启用的服务
(\"{name}\")
。 若要查看服务订阅的配置,请与 IT 管理员联系。
AADSTS650054
应用程序请求访问已删除或不再可用的资源的权限。 确保应用调用的所有资源都存在于你正在操作中的租户中。
AADSTS650056
应用程序配置不正确。 这可能由以下原因之一造成:在客户端的应用程序注册中,客户端没有在所请求的权限中列出针对“{name}”的任何权限。 或者,管理员未在租户中表示同意。 或者,检查请求中的应用程序标识符,确保它与配置的客户端应用程序标识符匹配。 或者,检查请求中的证书,确保该证书有效。 请联系你的管理员来修复配置或者代表租户来表示同意。 客户端应用 ID:{ID}。 请联系你的管理员来修复配置或者代表租户来表示同意。
AADSTS650057
资源无效。 客户端已请求访问某个资源,但该资源未在客户端应用程序注册中的所需权限中列出。 客户端应用 ID:{appId}({appName})。 请求中的资源值:{resource}。 资源应用 ID:{resourceAppId}。 应用注册中的有效资源列表:{regList}。
AADSTS67003
ActorNotValidServiceIdentity
AADSTS70000
InvalidGrant - 身份验证失败。 刷新令牌无效。 该错误的可能原因如下:
AADSTS70001
UnauthorizedClient - 应用程序处于禁用状态。 若要了解详细信息,请参阅“故障排除”一文以了解错误
AADSTS70001
。
AADSTS700011
UnauthorizedClientAppNotFoundInOrgIdTenant - 在目录中找不到标识符为 {appIdentifier} 的应用程序。 客户端应用程序从租户请求令牌,但租户中不存在该客户端应用,因此调用失败。
AADSTS70002
InvalidClient - 验证凭据时出错。 指定的 client_secret 与此客户端的预期值不匹配。 请更正 client_secret,然后重试。 有关详细信息,请参阅
使用授权代码请求访问令牌
。
AADSTS700025
InvalidClientPublicClientWithCredential - 客户端是公共的,因此不应显示“client_assertion”和“client_secret”。
AADSTS700027
客户端断言未通过签名验证。 开发人员错误 - 应用尝试在没有必需的或正确的身份验证参数的情况下登录。
AADSTS70003
UnsupportedGrantType - 应用返回了不受支持的授权类型。
AADSTS700030
证书无效 - 证书中的使用者名称未获授权。 令牌证书中的 SubjectNames/SubjectAlternativeNames(最多 10 个)为:{certificateSubjects}。
AADSTS70004
InvalidRedirectUri - 应用返回了无效的重定向 URI。 客户端指定的重定向地址与配置的任何地址或者 OIDC 批准列表中的任何地址都不匹配。
AADSTS70005
UnsupportedResponseType - 由于以下原因,应用返回了不受支持的响应类型:
-
没有为应用启用响应类型“token”
-
响应类型“id_token”需要“OpenID”作用域 - 编码的 wctx 中包含不支持的 OAuth 参数值
AADSTS700054
没有为应用程序启用响应类型“id_token”。 应用程序从授权终结点请求了 ID 令牌,但未启用 ID 令牌隐式授权。 至少以
云应用程序管理员
身份登录到
Microsoft Entra 管理中心
,然后浏览到“标识”>“应用程序”>“应用注册”。 选择应用程序,然后选择“身份验证”。 在“隐式授权和混合流”下,确保选择了“ID 令牌”。
AADSTS70007
UnsupportedResponseMode - 请求令牌时,应用返回了不受支持的
response_mode
值。
AADSTS70008
ExpiredOrRevokedGrant - 刷新令牌由于非活动状态而过期。 该令牌是在 XXX 颁发的,并在特定的时间内处于非活动状态。
AADSTS700082
ExpiredOrRevokedGrantInactiveToken - 刷新令牌由于不活动而过期。 该令牌于 {issueDate} 发行,{time} 时处于非活动状态。 令牌生命周期的预期部分 - 用户在不使用应用程序的情况下长时间运行,因此当应用尝试刷新令牌时,令牌已过期。
AADSTS700084
刷新令牌已颁发给单页应用 (SPA),因此具有固定、有限的生命周期 {time},该生命周期无法延长。 刷新令牌现在已经过期,SPA 必须将新的登录请求发送到登录页面。 该令牌于 {issueDate} 颁发。
AADSTS70011
InvalidScope - 应用请求的范围无效。
AADSTS70012
MsaServerError - 对 MSA(使用者)用户进行身份验证时发生服务器错误。 重试。 如果仍然失败,请
开具支持票证
AADSTS70016
AuthorizationPending - OAuth 2.0 设备流错误。 授权处于挂起状态。 设备将重试轮询请求。
AADSTS70018
BadVerificationCode - 由于用户为设备代码流键入了错误的用户代码,验证码无效。 未批准授权。
AADSTS70019
CodeExpired - 验证码已过期。 让用户重试登录。
AADSTS70043
BadTokenDueToSignInFrequency - 由于条件访问进行登录频率检查,刷新令牌已过期或无效。 该令牌是在 {issueDate} 颁发的,此请求的最大允许生存期为 {time}。
AADSTS75001
BindingSerializationError - SAML 消息绑定期间出错。
AADSTS75003
UnsupportedBindingError - 应用返回了与不受支持的绑定相关的错误(无法通过 HTTP POST 以外的绑定发送 SAML 协议响应)。
AADSTS75005
Saml2MessageInvalid - Microsoft Entra 不支持应用针对 SSO 所发送的 SAML 请求。 若要了解详细信息,请参阅“故障排除”一文以了解错误
AADSTS75005
。
AADSTS7500514
找不到支持的 SAML 响应类型。 支持的响应类型为“Response”(在 XML 命名空间“'urn:oasis:names:tc:SAML:2.0:protocol”中)或“Assertion”(在 XML 命名空间“urn:oasis:names:tc:SAML:2.0:assertion”中)。 应用程序错误 - 开发人员会处理此错误。
AADSTS750054
必须在针对 SAML 重定向绑定的 HTTP 请求中将SAMLRequest 或 SAMLResponse 提供为查询字符串参数。 若要了解详细信息,请参阅“故障排除”一文以了解错误
AADSTS750054
。
AADSTS75008
RequestDeniedError - 由于 SAML 请求的目标不符合预期,来自应用的请求被拒绝。
AADSTS75011
NoMatchedAuthnContextInOutputClaims - 用户在服务中用于身份验证的身份验证方法与请求的身份验证方法不匹配。 若要了解详细信息,请参阅“故障排除”一文以了解错误
AADSTS75011
。
AADSTS75016
Saml2AuthenticationRequestInvalidNameIDPolicy - SAML2 身份验证请求包含无效的 NameIdPolicy。
AADSTS76021
ApplicationRequiresSignedRequests - 客户端发送的请求未签名,而应用程序需要签名的请求
AADSTS76026
RequestIssueTimeExpired - SAML2 身份验证请求中的 IssueTime 已过期。
AADSTS80001
OnPremiseStoreIsNotAvailable - 身份验证代理无法连接到 Active Directory。 确保代理服务器是需要验证其密码的用户所在的 AD 林的成员,并且能够连接到 Active Directory。
AADSTS80002
OnPremisePasswordValidatorRequestTimedout - 密码验证请求超时。确保 Active Directory 可用,并且可以响应代理的请求。
AADSTS80005
OnPremisePasswordValidatorUnpredictableWebException - 处理来自身份验证代理的响应时发生未知的错误。 重试请求。 如果仍旧失败,请
开具支持票证
,获取有关该错误的更多详细信息。
AADSTS80007
OnPremisePasswordValidatorErrorOccurredOnPrem - 身份验证代理无法验证用户的密码。 检查代理日志以了解更多信息,并验证 Active Directory 是否按预期方式运行。
AADSTS80010
OnPremisePasswordValidationEncryptionException - 身份验证代理无法解密密码。
AADSTS80012
OnPremisePasswordValidationAccountLogonInvalidHours - 用户尝试在允许的时间(在 AD 中指定)以外登录。
AADSTS80013
OnPremisePasswordValidationTimeSkew - 由于运行身份验证代理的计算机与 AD 之间存在时间偏差,身份验证尝试无法完成。 解决时间同步问题。
AADSTS80014
OnPremisePasswordValidationAuthenticationAgentTimeout - 超过最大已用时间后响应验证请求。 开具支持票证并提供错误代码、相关性 ID 和日期时间,以获取有关此错误的更多详细信息。
AADSTS81004
DesktopSsoIdentityInTicketIsNotAuthenticated - Kerberos 身份验证尝试失败。
AADSTS81005
DesktopSsoAuthenticationPackageNotSupported - 不支持该身份验证包。
AADSTS81006
DesktopSsoNoAuthorizationHeader - 找不到授权标头。
AADSTS81007
DesktopSsoTenantIsNotOptIn - 未为租户启用无缝 SSO。
AADSTS81009
DesktopSsoAuthorizationHeaderValueWithBadFormat - 无法验证用户的 Kerberos 票证。
AADSTS81010
DesktopSsoAuthTokenInvalid - 由于用户的 Kerberos 票证已过期或无效,无缝 SSO 失败。
AADSTS81011
DesktopSsoLookupUserBySidFailed - 无法根据用户的 Kerberos 票证中的信息找到用户对象。
AADSTS81012
DesktopSsoMismatchBetweenTokenUpnAndChosenUpn - 尝试登录到 Microsoft Entra ID 的用户不同于已登录到设备的用户。
AADSTS90002
InvalidTenantName - 在数据存储中找不到该租户名称。 请确保租户 ID 正确。 如果应用程序开发人员尝试登录到找不到的租户,则应用程序开发人员将收到此错误。 通常,这是因为针对错误的云使用了跨云应用,或者开发人员尝试登录到从电子邮件地址派生的租户,但域未注册。
AADSTS90004
InvalidRequestFormat - 请求格式不正确。
AADSTS90005
InvalidRequestWithMultipleRequirements - 无法完成请求。 由于不能同时使用标识符和登录提示,请求无效。
AADSTS90006
ExternalServerRetryableError - 服务暂时不可用。
AADSTS90007
InvalidSessionId - 错误的请求。 无法分析传递的会话 ID。
AADSTS90008
TokenForItselfRequiresGraphPermission - 用户或管理员尚未许可使用该应用程序。 最起码,应用程序需要通过指定登录并读取用户个人资料权限来访问 Microsoft Entra ID。
AADSTS90009
TokenForItselfMissingIdenticalAppIdentifier - 应用程序正在请求自身的令牌。 仅当指定的资源使用基于 GUID 的应用程序 ID 时,才支持此方案。
AADSTS90010
NotSupported - 无法创建该算法。
AADSTS9001023
不支持通过 /common 或 /consumers 终结点的授予类型。 请使用 /organizations 或特定于租户的终结点。
AADSTS90012
RequestTimeout - 请求超时。
AADSTS90013
InvalidUserInput - 用户的输入无效。
AADSTS90014
MissingRequiredField - 如果预期的字段在凭据中不存在,则可能会显示此错误代码。
AADSTS900144
请求正文必须包含以下参数:“{name}”。 开发人员错误 - 应用尝试在没有必需的或正确的身份验证参数的情况下登录。
AADSTS90015
QueryStringTooLong - 查询字符串过长。
AADSTS90016
MissingRequiredClaim - 访问令牌无效。 缺少必需的声明。
AADSTS90019
MissingTenantRealm - Microsoft Entra ID 无法确定请求中的租户标识符。
AADSTS90020
SAML 1.1 断言缺少用户的 ImmutableID。 开发人员错误 - 应用尝试在没有必需的或正确的身份验证参数的情况下登录。
AADSTS90022
AuthenticatedInvalidPrincipalNameFormat - 主体名称格式无效,或者不符合预期的
name[/host][@realm]
格式。 主体名称是必需的,而主机和领域是可选的,可设置为 null。
AADSTS90023
InvalidRequest - 身份验证服务请求无效。
AADSTS900236
InvalidRequestSamlPropertyUnsupported - SAML 身份验证请求属性“{propertyName}”不受支持,不得设置。
AADSTS9002313
InvalidRequest - 请求格式错误或无效。 - 之所以出现此问题,是因为对某个终结点的请求出了问题。 对此问题的建议是获取发生的错误的 fiddler 跟踪,并查看请求的格式是否确实正确。
AADSTS9002332
应用程序“{principalId}”({principalName}) 配置为仅供 Microsoft Entra 用户使用。 请勿使用 /consumers 终结点来为此请求提供服务。
AADSTS90024
RequestBudgetExceededError - 发生了暂时性错误。 重试。
AADSTS90027
我们无法从 MSA 租户上的此 API 版本颁发令牌。 请与应用程序供应商联系,因为他们需要使用协议版本 2.0 来支持此操作。
AADSTS90033
MsodsServiceUnavailable - Microsoft Online Directory Service (MSODS) 不可用。
AADSTS90036
MsodsServiceUnretryableFailure - MSODS 托管的 WCF 服务发生意外的不可重试错误。 请
开具支持票证
,获取有关该错误的更多详细信息。
AADSTS90038
NationalCloudTenantRedirection - 指定的租户“Y”属于国家/地区云“X”。 当前云实例“Z”未与 X 联合。返回了云重定向错误。
AADSTS900384
JWT 令牌签名验证失败。 实际消息内容是特定于运行时的,此错误有多种原因。 有关详细信息,请查看返回的异常消息。
AADSTS90043
NationalCloudAuthCodeRedirection - 已禁用该功能。
AADSTS900432
跨云请求不支持机密客户端。
AADSTS90051
InvalidNationalCloudId - 国家云标识符包含无效的云标识符。
AADSTS90055
TenantThrottlingError - 传入的请求过多。 此异常是针对阻止的租户引发的。
AADSTS90056
BadResourceRequest - 若要兑换访问令牌的代码,应用应该向
/token
终结点发送 POST 请求。 另外,在此之前,应该提供授权代码,并在发往
/token
终结点的 POST 请求中发送此代码。 有关
OAuth 2.0 授权代码流
的概述,请参阅此文。 将用户定向到
/authorize
终结点,该终结点会返回 authorization_code。 通过向
/token
终结点发布请求,用户可以获取访问令牌。 检查“应用注册”>“终结点”以确认是否正确配置了两个终结点。
AADSTS900561
BadResourceRequestInvalidRequest - 终结点仅接受 {valid_verbs} 请求。 收到 {invalid_verb} 请求。 {valid_verbs} 表示终结点支持的 HTTP 谓词列表(例如,POST),{invalid_verb} 是当前请求中使用的 HTTP 谓词(例如,GET)。 这可能是由于开发人员错误,或者用户在其浏览器中按下后退按钮,从而触发了错误的请求。 这可予以忽视。
AADSTS90072
PassThroughUserMfaError - 用户登录时所用的外部帐户在其登录到的租户中不存在;因此,该用户无法满足该租户的 MFA 要求。 如果用户已同步,但是 Active Directory 和 Microsoft Entra ID 之间的 ImmutableID (sourceAnchor) 属性不匹配,也可能会发生此错误。 必须先将该帐户作为外部用户添加到该租户中。 注销并使用另一 Microsoft Entra 用户帐户登录。 有关详细信息,请访问
配置外部标识
。
AADSTS90081
OrgIdWsFederationMessageInvalid - 服务尝试处理 WS 联合身份验证消息时出错。 消息无效。
AADSTS90082
OrgIdWsFederationNotSupported - 目前不支持对该请求使用所选的身份验证策略。
AADSTS90084
OrgIdWsFederationGuestNotAllowed - 此站点不允许来宾帐户。
AADSTS90085
OrgIdWsFederationSltRedemptionFailed - 由于尚未预配公司对象,服务无法颁发令牌。
AADSTS90086
OrgIdWsTrustDaTokenExpired - 用户 DA 令牌已过期。
AADSTS90087
OrgIdWsFederationMessageCreationFromUriFailed - 从 URI 创建 WS 联合身份验证消息时出错。
AADSTS90090
GraphRetryableError - 服务暂时不可用。
AADSTS90091
GraphServiceUnreachable
AADSTS90092
GraphNonRetryableError
AADSTS90093
GraphUserUnauthorized - Graph 返回了针对请求的禁止访问错误代码。
AADSTS90094
AdminConsentRequired - 需要管理员许可。
AADSTS900382
跨云请求不支持机密客户端。
AADSTS90095
AdminConsentRequiredRequestAccess - 在管理员同意工作流体验中,当告知用户需要请求管理员同意时出现的中断。
AADSTS90099
应用程序“{appId}”({appName}) 未在租户“{tenant}”中获得授权。 应用程序必须获得访问外部租户的授权,然后合作伙伴委托的管理员才能使用它们。 若要为应用程序授权,请提供预先许可或执行相应的合作伙伴中心 API。
AADSTS900971
未提供回复地址。
AADSTS90100
InvalidRequestParameter - 参数为空或无效。
AADSTS901002
AADSTS901002:不支持“resource”请求参数。
AADSTS90101
InvalidEmailAddress - 提供的数据不是有效的电子邮件地址。 电子邮件地址必须采用
[email protected]
格式。
AADSTS90102
InvalidUriParameter - 值必须是有效的绝对 URI。
AADSTS90107
InvalidXml - 请求无效。 请确保数据不包含无效字符。
AADSTS90114
InvalidExpiryDate - 批量令牌过期时间戳会导致颁发过期的令牌。
AADSTS90117
InvalidRequestInput
AADSTS90119
InvalidUserCode - 用户代码为 null 或为空。
AADSTS90120
InvalidDeviceFlowRequest - 请求已获授权或被拒绝。
AADSTS90121
InvalidEmptyRequest - 无效的空请求。
AADSTS90123
IdentityProviderAccessDenied - 由于标识或声明颁发提供者拒绝了请求,无法颁发该令牌。
AADSTS90124
V1ResourceV2GlobalEndpointNotSupported -
/common
或
/consumers
终结点不支持该资源。 请改用
/organizations
或特定于租户的终结点。
AADSTS90125
DebugModeEnrollTenantNotFound - 用户不在系统中。 请务必正确输入用户名。
AADSTS90126
DebugModeEnrollTenantNotInferred - 此终结点不支持该用户类型。 系统无法从用户名推断用户的租户。
AADSTS90130
NonConvergedAppV2GlobalEndpointNotSupported -
/common
或
/consumers
终结点不支持该应用程序。 请改用
/organizations
或特定于租户的终结点。
AADSTS120000
PasswordChangeIncorrectCurrentPassword
AADSTS120002
PasswordChangeInvalidNewPasswordWeak
AADSTS120003
PasswordChangeInvalidNewPasswordContainsMemberName
AADSTS120004
PasswordChangeOnPremComplexity
AADSTS120005
PasswordChangeOnPremSuccessCloudFail
AADSTS120008
PasswordChangeAsyncJobStateTerminated - 发生了不可重试的错误。
AADSTS120011
PasswordChangeAsyncUpnInferenceFailed
AADSTS120012
PasswordChangeNeedsToHappenOnPrem
AADSTS120013
PasswordChangeOnPremisesConnectivityFailure
AADSTS120014
PasswordChangeOnPremUserAccountLockedOutOrDisabled
AADSTS120015
PasswordChangeADAdminActionRequired
AADSTS120016
PasswordChangeUserNotFoundBySspr
AADSTS120018
PasswordChangePasswordDoesnotComplyFuzzyPolicy
AADSTS120020
PasswordChangeFailure
AADSTS120021
PartnerServiceSsprInternalServiceError
AADSTS130004
NgcKeyNotFound - 未为用户主体配置 NGC ID 密钥。
AADSTS130005
NgcInvalidSignature - NGC 密钥签名验证失败。
AADSTS130006
NgcTransportKeyNotFound - 设备上未配置 NGC 传输密钥。
AADSTS130007
NgcDeviceIsDisabled - 设备已禁用。
AADSTS130008
NgcDeviceIsNotFound - 找不到 NGC 密钥引用的设备。
AADSTS135010
KeyNotFound
AADSTS135011
在身份验证期间使用的设备已禁用。
AADSTS140000
InvalidRequestNonce - 未提供请求 nonce。
AADSTS140001
InvalidSessionKey - 会话密钥无效。
AADSTS165004
实际消息内容是特定于运行时的。 有关详细信息,请查看返回的异常消息。
AADSTS165900
InvalidApiRequest - 请求无效。
AADSTS220450
UnsupportedAndroidWebViewVersion - 不支持 Chrome WebView 版本。
AADSTS220501
InvalidCrlDownload
AADSTS221000
DeviceOnlyTokensNotSupportedByResource - 资源未配置为接受仅限设备的令牌。
AADSTS240001
BulkAADJTokenUnauthorized - 未授权用户在 Microsoft Entra ID 中注册设备。
AADSTS240002
RequiredClaimIsMissing - 无法将 id_token 用作
urn:ietf:params:oauth:grant-type:jwt-bearer
授予。
AADSTS501621
ClaimsTransformationTimeoutRegularExpressionTimeout - 声明转换的正则表达式替换已超时。这表示为此应用程序配置的正则表达式可能过于复杂。 请求重试可能会成功。 否则,请联系管理员来修复配置。
AADSTS530032
BlockedByConditionalAccessOnSecurityPolicy - 租户管理员已配置了阻止此请求的安全策略。 检查在租户级别定义的安全策略来确定你的请求是否满足策略要求。
AADSTS700016
UnauthorizedClient_DoesNotMatchRequest - 应用程序中找不到目录/租户。 如果应用程序尚未由租户管理员安装,或者尚未获得租户中的任何用户同意,则可能会发生这种情况。 可能错误配置了应用程序的标识符值,或者将身份验证请求发送到了错误的租户。
AADSTS700020
InteractionRequired - 访问权限授予需要交互。
AADSTS700022
InvalidMultipleResourcesScope - 为输入参数范围提供的值无效,因为它包含多个资源。
AADSTS700023
InvalidResourcelessScope - 请求访问令牌时,为输入参数范围提供的值无效。
AADSTS7000215
提供的客户端密码无效。 开发人员错误 - 应用尝试在没有必需的或正确的身份验证参数的情况下登录。
AADSTS7000218
请求正文必须包含以下参数:“client_assertion”或“client_secret”。
AADSTS7000222
InvalidClientSecretExpiredKeysProvided - 提供的客户端密钥已过期。 为你的应用创建新密钥,或者考虑使用证书凭据提高安全性:
https://aka.ms/certCreds
AADSTS700229
ForbiddenTokenType - 只有仅限应用的令牌可用作 Microsoft Entra 颁发者的联合标识凭据。 使用(在客户端凭据流期间生成的)仅应用访问令牌,而不是用户委托的访问令牌(表示请求来自用户上下文)。
AADSTS700005
InvalidGrantRedeemAgainstWrongTenant - 提供的授权代码是用于其他租户的,因此已被拒绝。 兑换 OAuth2 授权代码时所针对的租户必须是获取该代码时所针对的租户(根据情况使用 /common 或 {tenant ID} 进行指定)
AADSTS1000000
UserNotBoundError - 绑定 API 要求 Microsoft Entra 用户同时使用外部 IDP 进行身份验证,但尚未执行此操作。
AADSTS1000002
BindCompleteInterruptError - 绑定已成功完成,但必须通知用户。
AADSTS100007
Microsoft Entra 区域仅支持使用适用于 Microsoft 基础结构租户中的 1P 应用或 3P 应用的 SN+I,对 MSI 或来自 MSAL 的请求进行身份验证。
AADSTS1000031
目前无法访问应用程序 {appDisplayName}。 请与您的管理员联系。
AADSTS7000112
UnauthorizedClientApplicationDisabled - 应用程序处于禁用状态。
AADSTS7000114
不允许使用应用程序“appIdentifier”进行应用程序代理调用。
AADSTS7500529
值“SAMLId-Guid”不是有效的 SAML ID - Microsoft Entra ID 使用此属性填充返回的响应的 InResponseTo 属性。 ID 的开头不能是数字,因此常见的策略是在 GUID 的字符串表示形式前面加上类似于“ID”的字符串。 例如,id6c1c178c166d486687be4aaf5e482730 是有效的 ID。
AADSTS9002341
V2Error:
invalid_grant
- 用户必须允许单一登录 (SSO)。 如果用户未授予应用程序执行 SSO 所需的权限,则会发生此错误。 用户应重定向到同意屏幕,以授予必要的权限。 有关详细信息,请参阅
此公告
。
遇到了问题或者找不到所需的内容? 请创建 GitHub 问题,或查看
面向开发人员的支持和帮助选项
来了解其他可以获得帮助和支持的方法。